2019年统计数据报告发现，有迹象表明互联网相关企业已开始优先考虑网络安全性问题，但在保护Web应用程序和用户时，企业仍然没有做所有必要的事情。据Web应用程序的漏洞研究报告，发现所有站点中有一半以上具有高风险漏洞。黑客能够轻松的利用网站漏洞去攻击网站访问者。

我们一讲到漏洞，可能大部分人认为是网站的载体，如托管服务器、云计算产品等这些系统漏洞，其实不然，大部分漏洞是存在于网站程序的代码中。许多攻击包括在网络钓鱼攻击中窃取凭据，用恶意软件感染电脑或将用户转到黑客控制的网站。

企业也未能充分利用多因素身份验证来保护他们的web应用程序，仍然依赖于可以轻松绕过的仅凭密码的身份验证。在大多数身份验证攻击中，只使用密码的身份验证是一个重要因素，缺乏双因素认证使攻击变得非常容易。

用户倾向于使用弱密码，这会使情况变得更糟。绕过访问限制通常会导致未经授权的数据泄露，修改或破坏。

2019年通过对38个功能齐全的web应用程序的评估，并表示尽管存在严重漏洞的web应用程序的比例稳步下降，但大多数web应用程序的安全性仍然很差。

研究发现，与2018年相比，每个应用程序的平均漏洞数量下降了三分之一，并且公司不仅在面向公众的Web应用程序中而且在内部Web应用程序中都更加重视安全性。金融机构的Web应用程序安全性评级最高，而机构web的得分最低。

报告说，有16％的应用程序包含漏洞，攻击者可以完全控制该系统，而生产中的网站中有一半是高风险漏洞。平均而言，每个系统包含22个漏洞，其中四个严重程度很高。根据积极技术报告，十分之一的漏洞具有很高的严重性。

具有高风险漏洞的生产系统的比例下降了:2019年为45%，而2018年为71%。但这仍高于2017年的25%。过去五年显示，含有严重漏洞的网站比例有所下降。这是一个令人鼓舞的迹象，与整体安全状况的改善相一致。

在39%的网站上，可以对应用程序进行未经授权的访问。到2019年，16%的web应用程序可以完全控制该系统。在8%的系统上，web应用服务器的完全控制允许攻击本地网络。

几乎70％的Web应用程序容易受到敏感数据泄露的攻击，其中大多数数据包含个人信息或凭据。

关于常见的漏洞和攻击，报告称，安全配置错误，跨站点脚本编写和身份验证失败是大多数Web应用程序的主要问题。

最常见的高风险漏洞是身份验证损坏，在45％的Web应用程序中发现该漏洞。

此类漏洞中几乎有三分之一是由于未能正确限制身份验证尝试的次数，攻击者可能利用此漏洞蛮力破解凭据或访问Web应用程序。

在一个特定的实例中，该报告指出，仅需尝试100次，即可使用管理员权限访问其中一个应用程序。

web应用程序应该对随后在浏览器中显示的所有用户输入进行杀毒处理，包括HTTP请求头字段，如user - agent和Referer。可能用于HTML页面格式化的不安全字符必须替换为非格式化的等价字符。我们还建议使用现代的web应用程序防火墙，因为它们能够阻止跨站点脚本编制。

在针对公司的定向攻击中，web应用程序漏洞可以帮助收集关于公司内部网络的数据，如网络段、端口和服务的结构。在许多情况下，黑客甚至可以访问内部网络资源和存储在那里的机密数据。

企业应培训开发人员各种安全的开发方法，同时为他们提供用于自动源代码分析和Web应用程序防火墙的工具，以作为预防措施。